Overslaan en naar de inhoud gaan

GitHub laat iedereen gratis scannen op in broncode gelekte geheimen

GitHub laat voortaan iedereen met openbare repositories gratis scannen het de aanwezigheid van zogeheten 'secrets' in zijn code. Het gaat dan bijvoorbeeld om inloggegevens die harcoded in de code staan, wat een serieus beveiligingsprobleem kan opleveren. Zo wist een Nederlandse ethisch hacker aan de hand daarvan in 2021 binnen te dringen bij de Belastingdienst.
Man in paniek
© Shutterstock.com
Shutterstock.com

De ethisch hacker in kwestie was Jelle Ursem, tegenwoordig aangesloten bij het Nederlandse DIVD. Hij ontdekte een openbare repository van een werknemer van de Belastingdienst op GitHub, waarin een verwijzing stond naar zijn privéomgeving op GitLab, met de bijbehorende inloggegevens. Ursem logde in en vond in die omgeving talloze wachtwoorden, waaronder de admin-inloggegevens van een Azure-omgeving. “Het is de Belastingdienst, dus ik zat echt te shaken", vertelde hij daar begin dit jaar over aan AG Connect.

Dat specifieke gat werd snel gedicht en Ursem ontving als bedankje een bokaal van de Belastingdienst. Maar dit geval is zeker geen uitzondering. Want hoewel developers weten dat het geen goed idee is om 'secrets' in de code te zetten, gebeurt het wel. GitHub maakte daarom eerder al een secret scanning-dienst beschikbaar voor betalende enterprise-gebruikers. En alleen dit jaar al werden deze betalende klanten op de hoogte gesteld van meer dan 1,7 miljoen mogelijk gelekte secrets, meldt TechCrunch

Automatische notificaties voor iedereen

Die dienst wordt nu ook gratis beschikbaar voor alle openbare GitHub-repositories. Gebruikers kunnen de nieuwe feature aanzetten in de beveiligingsfuncties, waarna ze automatisch notificaties ontvangen als er een secret aangetroffen is in de broncode. 

Overigens kan het zo zijn dat de feature nog niet zichtbaar is in de instellingen. GitHub rolt de feature namelijk gefaseerd uit. Eind januari is de tool voor iedereen beschikbaar.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in